不少電子商貿網站使用 Magento 來架構,但這個管理系統日前被發現有 XSS 漏洞,容易被黑客入侵控制後台。Magento 已釋出更新,用家應馬上安裝避免網站受到攻擊。
網絡安全公司 Sucuri 日前在 Magento 發現了一個跨網站指令碼(XSS)漏洞,黑客在填寫電郵時可植入 JavaScript,從而控制 Magento 的後台。例如填入「“><script>alert(1);</script>”@sucuri.net」 的話,管理員進入後台便會彈出對話方塊。如果被植入惡意的 JavaScript 的話更可以控制網站,如新增系統管理員或者偷取客戶資料等。
受影響的版本為 1.9.2.3 版之前的 Community Edition 之前和 1.14.2.3 版之前的 Enterprise Edition,Sucuri 向 Magento 通報後已釋出更新,最新版本已修補了這個漏洞。
事實上 XSS 是典型的網站漏洞,不少大型網站如 Paypal 曾經出現過;其他內容管理系統如 WordPress 早前也有過 XSS 漏洞。
Source : Arcs Technica